Configuración de la HIPAA

Configuración de HIPAA
En este artículo

Más información sobre cómo hacer que tu espacio de trabajo de Notion cumpla con la HIPAA y cómo habilitar el cumplimiento de la HIPAA 🏥

Ir a las preguntas frecuentes

La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA) es una ley federal de EE. UU. que se promulgó en 1996. Esta ley exige la protección y la gestión confidencial de la información médica protegida (PHI) por parte de las entidades amparadas, como proveedores de atención médica, planes de salud y centro de intercambio de información sobre servicios médicos, así como sus socios comerciales.

En este artículo, se brinda a los usuarios distintas opciones de configuración del producto necesarias para que su espacio de trabajo de Notion cumpla con la HIPAA.

Nota: El Acuerdo de socio comercial (BAA) de Notion rige la protección de la Información médica personal (PHI) que se almacena en el servicio de Notion. Para poder firmar el BAA de Notion, debes suscribirte al plan Enterprise.

Notion Calendar, las funciones de Notion Calendar y las funciones beta no están cubiertas por el BAA y, por lo tanto, su uso o empleo no debe conllevar el tratamiento de datos médicos protegidos.

Siempre que el texto de esta página y el texto que se encuentra en el BAA entren en conflicto, prevalecerá el texto en el BAA.

Configuración para la compatibilidad con Notion

Control del acceso

Adopta políticas y procedimientos técnicos para los sistemas de información electrónica que recopilan información médica electrónica protegida; de esta manera, solo podrán acceder las personas o programas de software que cuenten con derechos de acceso.

El inicio de sesión único de SAML de Notion utiliza el estándar SAML 2.0. De esta forma, conecta un proveedor de identidad (IdP) y tus espacios de trabajo para que el proceso de inicio de sesión sea más fácil y seguro. Notion es compatible con configuraciones oficiales de inicio de sesión único de SAML con Azure, Google, Gusto, Okta, OneLogin y Rippling.

Para comenzar a utilizar el inicio de sesión único de SAML con Notion, debes completar los siguientes pasos:

Verificar el (los) dominio(s): para utilizar funciones de seguridad avanzadas, debes verificar la propiedad de tu dominio de correo electrónico. Se trata de un proceso automatizado que consiste en agregar un registro TXT en el registro DNS de tu dominio para verificar que es tuyo.

Habilitar el inicio de sesión único de SAML: este paso activa la función y completa la configuración. Para obtener más información sobre el inicio de sesión único de SAML, consulta este artículo.

Cambiar el método de inicio de sesión predeterminado: al activar el inicio de sesión único de SAML por primera vez, el método de inicio de sesión predeterminado se establece en Cualquier método. Esto implica que los usuarios pueden iniciar sesión a través de SAML o de su método de inicio de sesión usual. Al establecer la configuración en Solo el inicio de sesión único de SAML, se aplica SAML como el método de inicio de sesión para tu espacio de trabajo a los usuarios administrados con correos electrónicos verificados de la empresa.

Enlazar espacios de trabajo adicionales: para configurar el inicio de sesión único en más de un espacio de trabajo, ponte en contacto con team@makenotion.com.

Después de completar la configuración como corresponde, todos los miembros que inicien sesión en tus espacios de trabajo deberán usar el dominio verificado y autenticarse a través de tu proveedor de identidad. Los propietarios de espacios de trabajo del plan Enterprise pueden omitir este paso y usar un método de inicio de sesión alternativo en caso de que haya un error con el inicio de sesión único de SAML/IdP.

Identificación de usuario única

Asigna un nombre o número únicos para identificar y hacer un seguimiento de la identidad del usuario.

Notion tiene una API de SCIM que se puede usar para aprovisionar, administrar y desaprovisionar tanto miembros como grupos. Los propietarios de espacios de trabajo pueden encontrar la clave de API requerida ingresando en Configuración -> Seguridad y SAML -> Configuración de SCIM y, luego, haciendo clic para ver el token.

Consulta nuestra documentación sobre SCIM para obtener la información más reciente sobre cómo interactuar con la API de SCIM de Notion. Notion es compatible con aplicaciones de SCIM oficiales con Google, Gusto, Okta, OneLogin y Rippling.

Procedimiento de acceso de emergencia

Establece (y, cuando corresponda, implementa) procedimientos para obtener la información médica electrónica protegida necesaria durante una emergencia.

La búsqueda de contenido les otorga visibilidad del contenido de los espacios de trabajo a los propietarios de espacios de trabajo del plan Enterprise para mejorar su gestión y resolver problemas con el acceso a las páginas. La búsqueda de contenido te permite:

- Ver quién tiene acceso a una página
- Modificar los permisos de una página
- Identificar y reasignar páginas abandonadas de empleados anteriores

Exportar una página, base de datos o espacio de trabajo completo de Notion en todo momento.

Cierre de sesión automático

Implementa procedimientos electrónicos que finalizan una sesión después de un tiempo de inactividad predeterminado.

Establecer duración de sesión personalizada: para los usuarios administrados en el plan Enterprise, Notion tiene una duración de sesión predeterminada de 180 días. Sin embargo, los propietarios de espacios de trabajo pueden personalizar la duración de su sesión desde 1 hora hasta 180 días.

Forzar el cierre de sesión de los usuarios administrados: puedes forzar el cierre de sesión de algunos o todos los usuarios del espacio de trabajo a la vez.

Forzar el restablecimiento de contraseña: puedes forzar el restablecimiento de la contraseña de algunos o todos los usuarios del espacio de trabajo a la vez.

Si se desconecta a un usuario a través de SCIM, se eliminará del espacio de trabajo y se finalizará su sesión.

Controles de auditoría

Implementa mecanismos de hardware, software o procedimentales que registren y examinen la actividad en sistemas de información que contengan o usen información médica electrónica protegida.

Los propietarios de espacios de trabajo del plan Enterprise pueden acceder a un registro de auditoría desde Configuración. Este registro te brinda una descripción general de una amplio abanico de eventos que sucedieron en el espacio de trabajo.

Esto puede ser muy útil para identificar posibles problemas de seguridad, investigar comportamientos sospechosos y solucionar inconvenientes de acceso. El registro de auditoría del espacio de trabajo se puede exportar en formato CSV.

Los clientes empresariales también pueden utilizar nuestras integraciones de socios de prevención contra la pérdida de datos (DLP) para descubrir, clasificar y proteger datos confidenciales en Notion.

Controles de integridad

Implementa políticas y procedimientos para proteger la información médica electrónica protegida frente a la alteración o la destrucción inadecuadas.

Implementa mecanismos electrónicos para corroborar que la información médica electrónica protegida no se haya alterado o destruido sin autorización.

Implementa medidas de seguridad para garantizar que la información médica protegida transmitida por medios electrónicos no se modifique de manera indebida e inadvertida hasta eliminarla.

Desactivar el uso compartido de páginas públicas: desactiva la opción “Compartir en la Web” del menú “Compartir” en todas las páginas del espacio de trabajo.

Desactivar invitados: evita que se inviten a personas ajenas al espacio de trabajo para que no accedan a cualquier página.

No necesitas usar este control si deseas enviar una invitación según sea necesario, pero ten en cuenta que Notion no puede usarse para comunicarse con pacientes, miembros del plan o sus familias y empleadores. Si necesitas habilitar invitados, te recomendamos activar las solicitudes de invitados. Esto implementa un proceso de aprobación para que puedas tener invitados en tu espacio de trabajo y, al mismo tiempo, garantizar el cumplimiento de la HIPAA.

Desactivar la función de mover o duplicar páginas a otros espacios de trabajo: impide que se muevan o dupliquen páginas a otros espacios de trabajo mediante las opciones “Mover a“ o “Duplicar en”.

Desactivar exportación: impide que se pueda exportar en formato Markdown, CSV o PDF.

Desactivar la creación de espacios de trabajo: impide que se creen nuevos espacios de trabajo sin aprobación.

Desactivar o incluir en la lista de aprobación extensiones de terceros: impide que se agreguen extensiones de terceros no aprobadas a tu espacio de trabajo de Notion.

Desactivar el acceso a espacios de trabajo externos: impide que los usuarios administrados se unan o accedan a espacios de trabajo externos ajenos a tu organización.

Autenticación de personas o entidades

Implementa procedimientos para verificar que una persona o entidad que pretende acceder a información médica electrónica protegida sea quien dice ser.

Desactivar cambios de perfil: evita que los usuarios administrados cambien su propia información de perfil para evitar la suplantación de identidad.

Administrar dominios: el dominio se refiere al dominio de la dirección de correo electrónico asociado a una cuenta de Notion. La verificación del dominio les permite a los propietarios de los espacios de trabajo reclamar la propiedad de un dominio, que desbloqueará la configuración de la administración de ese dominio.

Desactivar invitados: impide que se inviten a personas ajenas al espacio de trabajo a cualquier página. No necesitas usar este control si deseas enviar una invitación según sea necesario, pero ten en cuenta que Notion no puede usarse para comunicarse con pacientes, miembros del plan o sus familias y empleadores. Si necesitas habilitar a los huéspedes, te recomendamos activar las solicitudes de invitados. Esto implementa un proceso de aprobación para que puedas tener invitados en tu espacio de trabajo y, al mismo tiempo, garantizar el cumplimiento de la HIPAA.

Suspender y eliminar cuentas de usuarios administrados: suspende o elimina cuentas de usuarios administrados desde el panel de control de gestión de usuarios.

Desactivar eliminación de cuentas de usuarios administrados: impide que los usuarios administrados eliminen sus cuentas por sí solos.

Retención y eliminación de datos

Implementa políticas y procedimientos para abordar la eliminación definitiva de la PHI electrónica, así como el hardware o los medios de soporte electrónicos en los que se almacena.

La posibilidad de configurar la retención de datos permite a los propietarios de espacios de trabajo del plan Enterprise determinar cuándo se eliminan las páginas de los usuarios de la Papelera y cuánto tiempo más se pueden conservarlas después.

Guardamos copias de seguridad de nuestra base de datos, lo que nos permite restaurar tu contenido de los últimos 30 días en caso de que lo necesites.

Seguridad de las transmisiones

Implementa medidas técnicas de seguridad frente al acceso no autorizado
a la información médica electrónica protegida que se transmite a través de una red de comunicaciones electrónicas.

Implementa un mecanismo para cifrar la información médica electrónica protegida cuando se considere apropiado.

Cifrado en reposo: los datos de los clientes se cifran en reposo mediante el algoritmo AES-256. Se cifran los datos de los clientes que están en las redes internas de Notion, en reposo en el almacenamiento en la nube, en las tablas de bases de datos y en las copias de seguridad.

Cifrado en tránsito: los datos que se envían en tránsito se cifran mediante el protocolo TLS 1.2 o superior.

Nota: Los propietarios de espacios de trabajo del plan Enterprise pueden omitir este paso y usar un método de inicio de sesión alternativo en caso de que haya un error con el inicio de sesión único de SAML/IdP.

Para habilitar el cumplimiento de la HIPA para tu espacio de trabajo:

  1. Ve a Configuración en la barra lateral → Configuración del espacio de trabajoCumplimiento de la HIPAA Activar.

  2. Aparecerá una ventana donde podrás leer el BAA completo firmado antes de seleccionar Aceptar.

  3. Después de aceptar, verás la confirmación de que se habilitó el cumplimiento de la HIPAA. También te llegará un correo electrónico confirmando que el espacio de trabajo aceptó el BAA de la HIPAA.

Si quieres desactivar el cumplimiento de la HIPAA para tu espacio de trabajo:

  1. Ve a Configuración en la barra lateral → Configuración del espacio de trabajoCumplimiento de la HIPAA Desactivar.

  2. Selecciona Desactivar en la ventana que aparece.

  3. Después de aceptar, verás la confirmación de que se deshabilitó el cumplimiento de la HIPAA. Esto significa que ya no puedes almacenar información de salud protegida (PHI) en tu espacio de trabajo de Notion. También en este caso, te llegará un correo electrónico de confirmación.


Preguntas frecuentes

¿Cuál es el costo de habilitar el cumplimiento de la HIPAA?

El cumplimiento de la HIPAA está disponible de forma gratuita para todos los clientes con el plan Enterprise.

Los clientes deben aceptar el Acuerdo de socio comercial de Notion y usar Notion en concordancia con la ley HIPAA, el BAA y la Guía de configuración de productos de la ley HIPAA.

¿Cuáles son las limitaciones del producto para habilitar el cumplimiento de la HIPAA?

  • Notion no se puede usar para comunicarse con pacientes, miembros del plan o sus familias o empleadores.

  • Los usuarios no pueden incluir PHI en ninguno de los siguientes campos o funcionalidades:

    • Nombres de espacios de trabajo u organizaciones

    • Nombre del espacio de equipo

    • Nombres de archivo

    • Cuenta/perfil del usuario

    • Nombre de los grupos de usuarios

  • Las solicitudes de soporte y los archivos adjuntos a una solicitud de asistencia no deben incluir ninguna PHI.

  • Notion Calendar, las funciones de Notion Calendar y las funciones beta no están cubiertas por el BAA y, por lo tanto, su uso o empleo no debe conllevar el tratamiento de datos médicos protegidos.

¿Las integraciones seguirán estando disponibles?

Sí, las apps anteriormente habilitadas permanecerán habilitadas. Los administradores deben revisar las integraciones existentes utilizadas para garantizar que cumplan con las normas. Los administradores pueden optar por deshabilitar la adición de nuevas integraciones que no están permitidas.

¿Todavía tienes preguntas? Contacta al equipo de soporte

Cuéntanos tu opinión

¿Te resultó útil este recurso?